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==: (57) Abstract: The invention relates to a security-related automation system and a method for operating said system. In order to 
produce a security-related bus automation system which involves a minimum amount of hardware redundancy and which can be 
adapted to requirements in a flexible manner, the automation system comprises at least one security analyzer which is connected to 
the bus by means of an interface and which monitors the data flow via said bus, whereby the analyzer is configured in such a way that 
\2 it can execute security-related functions. The automation system is characterized in that a standard control device controls at least 
^ one security-related output and the security analyzer is configured in such a way that it can monitor and/or process security-related 
data in the bus data flow. 
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(57) Zusammenfassung: Die ^findung betrifft ein sicherhejtsbezogenes Automatisierungssystem und ein Verfahren zum Betrieb 
eines derartigen Systems. Urn ein sicherhejtsbezogenes Automatisierungsbassystem bereitzustcllen, welches rnit einer geringen 
Hardware-Redundanz auskommt und fiexibel an die jeweiligen Anfordernisse angepaBt werden kann, urafaflt das Automatisierungs- 
system zumindest einen Sicherheitsanaiysator, der mittels einer Schnittstelie an den Bus angeschlossen ist und den DatenrM uber 
den Bus mithort, wobei der Analysator zum Ausfuhren von sicherheitsbezogenen Funktionen eingerichtet ist. Das Automatisie- 
rungssystem zeichnet sich dadurch aus, daB die Standardsteuereinrichtung zumindest einen sicherheitsbezogenen Ausgang ansteuert 
und der Sicherheitsanalysator zur Uberpriifung und/oder zum Verarbeiten von sicherheitsbezogenen Daten im Busdatenstrom aus~ 
gebildet ist. 
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Sicherheitsbezoqenes Automat is ierunosbussyst em 

5 Die Erfindung betrifft ein sicherheitsbezogenes 

Automatisierungsbudsystem nach dem Oberbegrif f des Anspruchs 
1 und ein Verfahren zum Betrieb eines derartigen Systems, 

Steuer- und Datenubertragungsanlagen haben aufgrund des damit 

10 moglichen hohen Automat isierungsgrades eine herausragende 
Stellung nicht nur in der industriellen Fertigung erlangt. 
Derartige Automatisierungssysteme weisenim allgemeinen 
zumindest Abschnitte oder Komponenten auf , an welche erhdhte 
Anforderungen im Hinblick auf die Sicherheit zu stellen sind. 

15 Beispielsweise muS sichergestellt sein, daS bestimmte 

Maschinen innerhalb vorgegebener Betriebsparameter betrieben 
werden oder es mufi verhindert werden, daS eine Maschine^ 
.lauft, obwohl sich eine Person in deren Arbeitsbereich 
auf halt* In dieser Hinsicht darf beispielsweise eine 

20 Drehmaschine nicht eine vorgegebene Drehzahl uberschreiten 
oder sich nicht beim Betrieb eines Roboters eine Person im 
Aktionsradius des Roboters aufhalten. Weiterhin muS beim 
Betrieb eines Automat isierungssys terns sichergestellt sein, 
daS bei einem Ausfall einer Komponente des Systems die Anlage 

25 nicht in einen undef inierten und damit nicht vorhersagbaren 
Zustand gerat. 



Ein Ansatz fur diese Problematik nach dem Stand der Technik 
besteht darin, insbesondere die sicherheitsrelevanten 
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Komponerxten des Systems mehrkanalig, d.h. redundant 
aufzubauen. Beispielsweise kann in einern 
Automatisierungsbussystern vorgesehen sein, 

Sicherheitsbuskomponenten, d.h, z,B. Busteilnehmer, die einer 
5 sicherheitsrelevanten Maschine zugeordnet sind, doppelt 

auszufuhren. Gleichzeitig kann auch die zentrale Steuerung 
und der Bus mehrkanalig aufgebaut sein oder gar eine von der 
Prozefisteuerung getrennte spezielle und unter Umstanden 
redundant aufgebaut e Sicherhe its steuerung zur Steuerung der 

10 sicherheitsrelevanten Komponenten vorgesehen sein. Diese 

Sicherheitssteuerung fuhrt im wesentiichen die Verknupfungen 
der sicherheitsbezogenen Eingangsinformationen durch und 
libermittelt daraufhin, beispielsweise uber einen 
Automatisierungsbus, sicherheitsbezogene Verkmipfungsdaten an 

15 Ausgangskomponenten. Die Ausgangskcmponenten ihrerseits 
bearbeiten die empfangenen SicherheitsmaSnahmen und geben 
nach positiver Priifung diese an die Peripherie aus. Daruber 
hinaus schalten sie ihre Ausgange in einen sicheren Zustand, 
wenn sie einen Fehler feststellen oder innerhalb einer 

20 vorgegebenen Zeitdauer keine gultigen Daten mehr empfangen 
haben . 

Der Einsatz von zwei Steuerungen im System, d.h. eine 
ProzeSsteuerung sowie der beachriebenen Sicherheitssteuerung 

25 hat jedoch einige Nachteile zur Folge. Gerade aufgrund 
steigender Anforderungen an die Reaktionszeit von 
Automat isierungssystemen mufi ein derartiges System haufig auf 
Sicherheitsinseln aufgeteilt werden. Weiterhin treten 
insbesondere bei mehrkanaligen Steuerungssystemen 

30 Synchronisationsprobleme auf, welche trotz prinzipiell 
intakter Anlage zu Ausf alien oder gar Zerstorungen von 
Maschinenteilen fuhren konnen. Weiterhin zieht der 
mehrkanalige Aufbau durch den vergrofierten Hardware -Auf wand 
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eine Erhohung der System- als auch der Wart ungskos ten nach 
sich* 

Aus DE 198 15 150 Al ist ein System bekannt, welches eine an 
5 den Bus angeschlossene Auswerteeinheit umfaSt, die 

fortlaufend die uber das Bussystem ubertragenen Signale 
abhort und nur bei fehlerfreier rdentif izierung von liber das 
Bussystem ubertragenen Kodierungen ein Arbeitsgerat in 
Betrieb setzt. Hierzu werden die durch den Busteilnehmer an 
10 den Master gesendeten Eingangsdaten ausgewertet und im 

Ansprechen auf die Auswertung das Arbeitsgerat eingeschaltet 
oder ausgeschaltet belassen, 

Ein derartiger Ansatz ist im Vergleich zur erstbeschriebenen 
15 Anlage nicht so kostenintensiv, er ist jedoch sehr unflexibel 
im Hinblick auf eine Erweiterung des Systems oder eine 
Anpassung der Anlage an andere Buskomponenten. Weiterhin ist 
die Auswerteeinheit allein fur das Auslosen einer 
sicherheitsgerichteten Funktion zustandig, so daS zur 
20 Einhaltung hoher Sicherheitsanf orderungen die Auswerteeinheit 
zwingend redundant ausgefuhrt werden muS. 

Aufgabe der Erfindung ist es somit, ein sicherheitsbezogenes 
Automat isierungsbussys tern bereitzustellen, welches moglichst 
25 mit einer geringen Hardware -Redundanz auskommt und flexibel 
an die jeweiligen Anfordernisse angepaSt werden kann. 

Die Erfindung lost dieses Problem mit einem 
Automatisierungsbussystem mit den Merkmalen des Anspruchs 1 
30 sowie ein Verfahren zum Betrieb einer derartigen Steuer- und 
Datenverarbeitungsanlage nach Anspruch 14, Weiterbildungen 
der Erfindung sind in den Unteranspriichen angegeben. 
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Erf indungsgemaS umfaSt das Automat isienings system ein 
Bussystem, daran angeschlossene Sensor- und Aktor- 
Busteilnehmer und eine Standardsteuerungseinrichtung, welche 
die ProzeSsteuerung mit der Verarbeitung von proze&gebundenen 

5 E/A~Daten und eine sicherheitsbezogene Steuerung mit der 
Verarbeitung von sicherheitsbezogenen Daten, d„h. der 
Steuerung von sicherheitsbezogenen Ein- und Ausgangen, 
durchfuhrt. Weiterhin ist ein sogenannter 
Sicherheitsanalysator umfaSt, der mittels einer 

10 entsprechenden Schnittstelle an den Bus angeschlossen ist und 
den Datenflufi uber den Bus mithort, wobei der Analysator zum 
Ausfuhren von sicherheitsbezogenen Funktionen eingerichtet 
ist. Dies betrifft beispielsweise die Ansteuerung eines 
Schutzes zum Abschalten der Versorgungsspannung von 

15 Systemkomponenten oder die Ermittlung von Qualitatsdaten, 
Derartige Qualitatsdaten konnen allgemeine Systemparameter, 
z.B. Daten uber das Auftreten von Pehlem in 
Systemkomponenten oder Busiibertragungsf ehlern umfassen. Das 
Automatisierungssystem zeichnet sich dadurch aus, daS die 

20 Standardsteuereinrichtung zumindest einen 

sicherheitsbezogenen Ausgang uber den Bus ansteuert, sie kann 
jedoch auch selbst einen derartigen sicherheitsbezogenen 
Ausgang aufweisen. Erf indungsgemaS bezeichnet ein 
sicherheitsbezogener Ausgang eine Senke einer 

25 Sicherheitsinformation, die in Abhangigkeit der Information 
sicherheitsgerichtete Ablaufe startet, beispielsweise eine 
Maschine herunterf ahrt oder gar durch Unterbrechen des 
Versorgungsstromes eine Maschine abschaltet. Der 
Sicherheitsanalysator ist im erf indungsgemaSen 

30 Automatisierungssystem zur Uberprufung und/oder zum 

Verarbeiten von sicherheitsbezogenen Daten, insbesondere 
sicherheitsbezogenen Verknupfungsdaten im Busdatenstrom 
ausgebildet. Dabei sind sicherheitsbezogene Verknupfungsdaten 
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beispielsweise Daten, welche die sicherheitsbezogene 
Steuerung nach der Verarbeitung von sicherheitsbezogenen 
Daten an sicherheitsbezogene Ausgange sendet. 

Damit wird ein System bereitgestellt , welches extrem flexibel 
auf die jeweiligen Anforderungen an das 
Automatisierungssystem eingestellt werden kann. 
Beispielsweise kann jeder Sicherheitsbuskomponente ein 
derar tiger Sicherheitsanalysator zugeordnet oder auch ein 
Sicherheitsanalysator in die Sicherheitskomponente, 
beispielsweise einen Sicherheitsbusteilnehmer selbst 
integriert werden, es ist jedoch auch moglich, daS ein 
einzelner Sicherheitsanalysator die Verarbeitung 
sicherheitsbezogener Daten oder die Uberprufung der 
sicherheitsbezogenen Verknupfungsdaten iin Busdatenstrom fur 
mehrere Sicherheitsbuskomponenten oder gar alle 
Sicherheitsbuskontponenten des Systems vornimmt. 

Das Prinzip der Erfindung beruht auf der Erkenntnis des 
Erfinders, daS die in heutigen Automatisierungsanlagen 
eingesetzte Elektronik selbst nur selten ausfallt. Die 
Integration der aktuellen digitalen Sicherheitstechnik in die 
Automatisierungstechnik in Form von Sicherheitssteuerungen 
oder Sicherheitsbussystemen nach dem Stand der Technik hat 
hauf ig den Nachteil einer abnehmenden Verfugbarkeit des 
Systems. Urn diese Ausf allzeiten zu reduzieren, kommen deshalb 
neben den genannten Sicherheitskomponenten auch 
Verfugbarkeitsstrukturen zum Einsatz, die ihrerseits aber zu 
einer nicht unerheblichen Zunahme der Kosten durch den 
erhohten Hardware -Auf wand fuhren- 

Die Erfindung setzt deshalb auf der Zuverlassigkeit heutiger 
Autotnatisierungssysteme auf und integriert eine reine 
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Notfall-Elektronik bzw. -Software, die erst dann aktiv in den 
Betrieb der Anlage eingreift, wenn die Standardtechnik 
fehierhaft arbeitet. Die Standards teuerungseinrichtung 
verarbeitet deshalb auch sicherheitsbezogene Daten, d-h. sie 

5 steuert sicherheitsrelevante Bin- und Ausgange. Insbesondere 
die erzeugten sicherheitsbezogenen Verknupfungsdaten im 
Busdatenstrom werden jedoch vom Sicherheitsanalysator 
abgehort und iiberpruft. Dies hat fur den Anwender den 
Vorteil, daS eine strikte Trermung der Sicherheitstechnik und 

10 der Standardtechnik bei der Programmierung nicht mehr 
unbedingt notwendig ist. Das erf indungsgemaSe 
Automatisierungssystem ist auf alle Systeme mit einem Bus, 
insbesondere auf Bussysteme mit Master-Slave- 
Buszugrif f sverfahren anwendbar. Unabhangig von der Anordnung 

15 des Sicherheitsanalysators im Fernbus-Abschnitt kann dieser 
bei einem beispielhaf ten seriellen Bussystem nach EN 50 254 
alie IN-Daten auf dem Bus lesen, der Umfang der mithorbaren 
OUT-Daten hangt jedoch von der Anordnung des 
Sicherheitsanalysators im System ab. Die Bezeichnung 

20 Busdatenstrom bezeichnet dabei erf indungsgemaS alle uber dem 
Bus ubermittelte Inf ormationen, insbesondere auch die in 
einem Summenrahmen uber den Bus transport iert en Daten. 

Urn den einschlagigen Sicherheitsanforderungen zu geniigen, 
25 kann der Sicherheitsanalysator im Ansprechen auf die 
Uberprufung und/oder die Verarbeitung von 
sicherheitsbezogenen Daten, insbesondere von 
Verknupfungsdaten im Busdatenstrom, die notwendigen 
sicherheitsbezogenen Funktionen auslosen. Hierbei kann der 
30 Sicherheitsanalysator sowohi auf OUT-Daten, d-h. 

Verknupfungsdaten der Standardsteuereinrichtung reagieren als 
auch auf IN-Daten, d.h, Informationen im Busdatenstrom, 
welche von einzelnen E/A-Busteilnehmern an die 
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Standardsteuereinrichtung gesendet wurderu 

Um einen Fehler in sicherheitsbezogenen Verknupfungsdaten, 
welche uber den Bus ■ transportiert werden, zu erkennen, kann 
5 der Sicherheitsanalysator eine frei programmierbare 

Logikeinrichtung aufweisen, in welcher die abgehorten Daten, 
insbesondere die abgehorten sicherheitsbezogenen Daten 
verarbeitet werden. Auf diese Weise kann der 
Sicherheitsanalysator durch das Nachbilden der 
10 sicherheitsbezogenen Verknupfungen der Standardsteuerung 

deren als OUT -Daten uber den Bus gesendeten Verknupfungsdaten 
uberprufen und im Ansprechen auf die Uberprufung oder den 
Vergleich notwendige sicherheitsbezogene Funktionen 
ausfuhren, Um die Anlage beispielsweise in einen sicheren 
15 Zustand zu bringen, kann der Sicherheitsanalysator einen 

Ausgang umfassen, uber welchen eine Baugruppe, insbesondere 
ein Busteilnehmer des Automatisierungsbussystems ein- oder 
ausschaltbar ist. Die Abschaltung kann durch Trennen von der 
Spannungsversorgung realisiert werden, Um zusammenhangende 
20 bzw. voneinander abhangende Busteilnehmer in Gesamtheit in 
einen sicheren Zustand zu bringen, kann der 
Sicherheitsanalysator zur Abschaltung eines Busstichs, einer 
mehrere, einander zugeordnete Busteilnehmer umfassende 
Sicherheitsinsel oder zum Abschalten von Komponenten nach 
25 einer im Analysator abgelegten Verrieglungslogik eingerichtet 
sein. Es ist jedoch auch moglich, daS uber den 
sicherheitsbezogenen Ausgang des Sicherheitsanalysators die 
Gesamtanlage von der Spannungsversorgung abgetrennt wird. 

30 Der Sicherheitsanalysator kann sicherheitsbezogene 

Informationen neben dem Abhoren des Busses weiterhin uber 
einen direkten Eingang erfassen, mitt els welchem der 
Sicherheitsanalysator mit einer sicherheitsbezogenen 
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Einrichtung des Automatisierungsbussystems verbunden ist. 
Diese Einrichtung kann dabei, mu£ aber nicht an den Bus 
angeschlossen sein* Beispielsweise umfaSt die so zugangliche 
sicherheitsbezogene Information die Momentandrehzahi der 
schon erwahnten Drehmaschine, wobei der Analysator im Palle 
des Uberschreitens einer vorbestimmten Grenzdrehzahl die 
Maschine mittels ihres Ausgangs abschaltet. 

Urn eine Trennung der sicherheitsbezogenen Informationen und 
der ProzeSdaten im System und insbesondere in der Steuerung 
durchzufuhren, kann das Bussystem uber eine Anschaltbaugruppe 
mit einem Host verbunden sein, wobei die prozeSbezogene 
Steuerung der Standardsteuereinrichtung im Host und die 
sicherheitsbezogene Steuerung der Standardsteuereinrichtung 
in der Anschaltbaugruppe angeordnet ist. Vorteilhaf terweise 
lafit sich die sicherheitsbezogene Steuerung beispielsweise in 
Form von Sof tware-Funktionsbausteinen, welche die notwendigen 
Verknupfungen der sicherheitsrelevanten E/A- Informationen 
vornehmen, realisieren* 

Die sicherheitsbezogene Steuerung kann somi't in gleicher 
Weise implement iert werden wie die ProzeSsteuerung. Bei der 
Codierung der sicherheitsbezogenen Verknupfungen ist der 
Programmierer ebenso wie bei der ProzeSsteuerung von der 
verwendeten Programmiersprache unabhangig. 

Die Verknupfungen auf dem Sicherheitsanalysator haben in etwa 
denselben Umf ang wie die Verknupfungen auf dem Host 
beziehungsweise auf der Anschaltbaugruppe und konnen entweder 
in derselben oder aber in einer anderen Programmiersprache 
erstellt werden, Der Sicherheitsanalysator fuhrt zusatzlich 
einen Vergleich der Verknupfungen zwischen den Ergebnissen 
des Host -Systems beziehungsweise der Anschaltbaugruppe und 
seinen eigenen durch und startet beispielsweise beim 
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Auftreten von Ungleichheit sicherheitsgerichtete Funktionen, 

Das Abnahmeverfahren eirxes solchen Systems kann erheblich 
einfacher erfolgen, als es bei den Systemen nach dem Stand 

5 der Technik der Pall ist. Die Anlage kann mit alien 

Sicherheitsverriegelungen in Betrieb genomrnen werden, ohne 
die Sicherheitstechnik aktiv geschaltet zu haben. Die 
notwendigen Verknupfungen befinden sich dabei im Host -System 
oder in der Anschaltbaugruppe . Die Funktionsfahigkeit der 

10 Anlage kann zunachst im Black-Box-Test untersucht werden. In 
einem zweiten Schritt wird dann die Sicherheitstechnik in 
Form der beziehungsweise des Sicherheitsanalysators (en) 
zugeschaltet . Da dort nur die Sicherheitsverknupfungen, nicht 
aber die Prozefidatenverknupfungen vorhanden sind, lafit sich 

15 nun der White- Box -Test schnell und ubersichtlich durchfuhren, 
wodurch sich die Abnahmezeiten erheblich reduzieren lassen. 
Da die sicherheitsbezogenen Verknupfungsalgorithmen auch auf 
dem Host -System beziehungsweise der Anschaltbaugruppe 
ablaufen, ist ein Vergleich mit denen des Analysators schnell 

20 moglich, 

Wird der Bus als serieller Ringbus, beispielsweise als Bus 
gemaS EN 50254 ausgebildet, und ist ein Sicherheitsanalysator 
im Top-Level -Fernbus-Abschnitt des Automat is ierungssys terns 

25 angeordnet, so hat dieser Zugriff auf alle IN-Daten des 
Systems, da in dem bezeichneten System die Daten in einer 
hin- und' in einer rftckfuhrenden Ubertragungsleitung durch 
jeden Busteilnehmer gefuhrt werden. Damit ist der Analysator 
in der Lage, ein auf die IN-Daten und die ihm zuganglichen 

30 Out -Daten beschranktes ProzeSabbild aufzubauen. 

Bei Bussystemen mit Linientopologie kann der 
Sicherheitsanalysator in der Regel an jedem Ort im Bussystem 
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alle Information mitlesen unci damit ein vollstandiges 
ProzeEabbild anlegen. 

In einer vorteilhaf ten Ausfuhrungsform der Erfindung ist der 
Sicherheitsanalysator in einem seriellen Ringbussystera direkt 
nach dem Host Oder der Anschaltbaugruppe angeordnet, so da£ 
dieser ein vollstandiges ProzeEabbild aufbauen kann. Somit 
ist der Sicherheitsanalysator in der Dage jederzeit und in 
vollem Umfang sicherheitsgerichtete Daten, insbesondere 
sicherheitsgerichtete Verknupfungsdaten auf ihre Richtigkeit 
zu uberprufen beziehungsweise zu verarbeiten, da in diesem 
Fall der Analysator Zugriff auf alle In- und Out -Daten, d.h. 
alle Eingangs- und Ausgangsdaten besitzt. 

Ist der Sicherheitsanalysator . in der Anschaltbaugruppe des 
beschriebenen seriellen Ringbussys terns angeordnet, so kann 
die Funktion des Sicherheitsanalysators mitt els einer 
Softwarekomponente in der Anschaltbaugruppe ausgefuhrt sein. 
Vorteilhafterweise weist die Anschaltbaugruppe hierbei einen 
sicherheitsbezogenen Ausgang auf, urn entsprechende 
sicherheitsgerichtete Funktionen, beispielsweise das 
Abschalten einer Versorgungsspannung mittels eines Schutzes 
auszufuhren. 

Das Ausfuhren derartiger sicherheitsgerichteter Funktionen 
kann jedoch in einer besonderen vorteilhaf ten Ausfuhrungsform 
der Erfindung durch direkte Datenmanipulation des 
Busdatenstroms durch den Sicherheitsanalysatord realisiert 
werden. Das Manipulieren umfaSt das Umschreiben, das 
30 Erganzen, das Einfugen sowie das Substituieren sowohl von 
OUT-Daten als auch von IN-Daten des Busdatenstroms. Bei 
Kenntnis des ProzeSabbildes kann somit der 

Sicherheitsanalysator in weitreichender Form auf den Betrieb 
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des erf indungsgemafien Automatisierungssystems EinfluS nehmen 
und damit sicherstellen, daS die Anlage zu jedem Zeitpunkt in 
definierten Zustanden gehalten werden kann. Das Prinzip der 
Datenmanipulation kann weiterhin auch dazu benutzt werden, urn 
einen in einem im Busstich angeordneten Sicherheitsanalysator 
im allgemeinen nicht zugangliche Busdatenstromanteile 
verfugbar zu machen, indem ein im Fernbus angeordneter 
Sicherheitsanalysator die betreffenden Daten in Daten 
wandelt, welche in den betreffenden Busstich transportiert 
werden. Auf diese Weise 1st eine direkte Datenverbindung 
zwischen Sicherheitsanalysatoren realisiert. 

Die Datenmanipulation durch einen Sicherheitsanalysator kann 
in einem nach dem Master-Slave-Prinzip arbeitenden Bussystem 
auch verwendet werden, urn Daten zwischen zumindest zwei 
Slaves, insbesondere zwischen einzelnen Busteilnehmem, 
mittels einer Punkt-zu-Punkt~Verbindung uber wenigstens einen 
Sicherheitsanalysator zu ubertragen, wobei der 
Sicherheitsanalysator Daten im Busdatenstrom umkopiert. Der 
Master 1st bei dieser Daten-Verbindung je nach Lage der 
beiden Slaves im Bussystem unter Umstanden nicht eingebunden, 
so daS der Datentransport vollig unabhangig vom Busmaster 
realisiert wird, Eine derartige Datenverbindung zwischen zwei 
Slaves ist im ubrigen auch durch die Ausfuhrung einer 
Kopierfunktion durch den Busmaster moglich. Wahrend bei einem 
Sicherheitsanalysator als Mittler, wie vorstehend 
beschrieben, zumindest in bestimmten Fallen der Busmaster 
nicht in den Datentransport eingebunden ist, ist der 
Busmaster fur die zweite Form einer Punkt-zu-Punkt-Verbindung 
zwischen zwei Slaves zwingend notwendig. 

Das Austauschen von Daten zwischen zumindest zwei Slaves, 
beispielsweise zwischen einzelnen Busteilnehmem, mittels 
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einer Punkt~zu~Punkt-Verbindung kanrx weiterhin auch durch die 
Einbindung des Masters oder der Steuerung in die Ubertragung 
realisiert werden, wobei in diesem Fall der Master bzw* die 
Steuerung die Daten im Busdatenstrom umkopiert, 

Zur Erhdhung der Datensicherheit konnen die 

sicherheitsbezogenen Daten in einem Sicherheitsprotokoll uber 
den Bus ubertragen werden. Beispielsweise kann das 
Sicherheitsprotokoll zusatzlich zu dem Sicherheitsdatum das 
negierte Sicherheitsdatum, eine laufende Nummer, eine Adresse 
und/oder eine Datensicherungsinf orrnation {CRC) umfassen. 

Die Flexibilitat des Systems zeigt sich insbesondere in einer 
wexteren vorteilhaf ten Ausfuhrungsf orm der Erf indung, bei 
welcher das erf indungsgemaSe Automat isierungs system mehrere 
Sicherheitsanalysatoren umfaSt, wobei in einem 
Sicherheitsanalysator ablaufende sicherheitsbezogene 
Verknupfungen redundant in wenigstens einem weiteren 
Sicherheitsanalysator durchgefuhrt werden und durch beide 
Sicherheitsanalysatoren sumindest teilweise die gleichen 
Sicherheitsfunktionen ausgefuhrt und ausgelost werden, Dabei 
konnen die betreffenden Sicherheitsanalysatoren zusatzlich zu 
den redundanten, d.h. auf beiden Analysatoren ablaufenden 
Verknupfungen auch unterschiedliche sicherheitsbezogenen 
Verknupfungen ausfuhren. 

Die Erf indung wird im folgenden durch das Beschreiben einiger 
Ausfuhrungsformen unter Zugrundeiegen der Zeichnungen 
erlautert, wobei 

Fig. 1 in einer Prinzipdarstellung eine erste 
Ausfuhrungsform des erf indungsgemaSen 
Automat isierungssys terns mit zwei 

Sicherheitsanalysatoren im Fernbus-Abschnitt zeigt, 
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in einer Prinzipskizze eine weitere Ausfuhrungsform 
der Erf inching darstellt, wobei ein 
Sicherheitsanalysator direkt hinter der 
Anschaltbaugruppe angeordnet ist, 
das erf indungsgemafie Automat is ierungs system in 
einer Prinzipskizze mit einem in die 
Anschaltbaugruppe integrierten 
Sicherheitsanalysator sowie einem zweiten 
Sicherheitsanalysator am Kopf eines Busstichs 
zeigt, 

ein erf indungsgemaSes Automatisierungssystem mit 
zwei Sicherheitsanalysatoren darstellt, wobei deren 
Ausgange miteinander verbunden sind, 
in einer prinzipiellen Blockbilddarstellung einen 
Sicherheitsanalysator mit verschiedenen Ein- und 
Ausgangen zeigt und 
und Sb in einer Prinzipdarsteliung die 

Datenmanipulation des Busdatenstroms durch den 
Sicherheitsanalysator zeigt* 

In Fig. 1 ist in einer Prinzipdarsteliung das 
erf indungsgemafie Automatisierungssystem 1, d.h* eine Steuer- 
und Datenubertragungsanlage gemaS der Erfindung dargesteilt, 
Es umfaSt einen Bus 2, an welchen E/A-Busteilnehmer mit 
zugeordneten Sensoren und Aktoren angeschlossen sind, Eine 
Standardsteuerungseinrichtung 4 fuhrt uber den Bus die 
ProzeSsteuerung mit der Verarbeitung von prozeSgebundenen 
E/ A- Daten durch. Hierzu empfangt die Steuerung 4 Daten von 
den einzelnen Busteilnehmern 31-38, die wiederum selbst von 
der Standardsteuerungseinrichtung Daten empfangen. Weiterhin 
ist die Standardsteuerungseinrichtung mit der Verarbeitung 
von sicherheitsbezogenen Daten befaSt. In diesem Sinne 
ubemimmt die Standardsteuerungseinrichtung neben den 



Fig. 2 



Fig. 3 



Fig. 4 



Fig. 5 



Fig. 6a 
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prozeSgebundenen Sin- und Ausgangen auch die Verarbeitung der 
sicherheitsrelevanten Ein- und Ausgange. GemaS der Erfindung 
bezeichnet ein sicherheitsbezogener Eingang eine 
Informationsquelle, wobei die durch die Quelle abgegebene 

5 Information in irgendeinem Zusammenhang zur Sicherheit des 
erf indungsgemaSen Automatisierungssystems steht. 
Beispielsweise ist der Drehzahlsensor einer Drehmaschine, 
welche uber einen Busteilnehmer 32 an den Bus 2 angeschlossen 
ist, ein derartiger sicherheit srelevanter Eingang, da die 

10 Maschine nicht uber eine vorgegebene Grenze drehen darf ♦ Ein 
weiteres Beispiel fur einen sicherheit sbezogenen Eingang in 
der beschriebenen Ausfuhrungsform der Erf indung ist ein 
Photodetektor einer Lichtschranke, mit welcher der 
Arbeit sbereich der Drehmaschine uberwacht wird. Auch in 

15 diesem Fall besitzt die Standardsteuerungseinrichtung uber 
den Bus Zugriff auf die Information des sicherheit sbezogenen 
Eingangs. Nach der Verarbeitung der sicherheit sbezogenen 
Daten, beispielsweise in Form einer logischen Verknupfung 
sendet die Steuerungseinrichtung 4 diese sicherheit sbezogenen 

20 Verkmipfungsdaten an sicherheitsbezogene Ausgange. 

Beispielsweise kann die Standardsteuerungseinrichtung einen 
Abschaltbef ehl fur die erwahnte Drehmaschine uber den Bus zum 
zugeordneten Busteilnehmer 32 absenden, wenn die 
Hochstdrehzahl uberschritten wurde und damit eine Gefahr 

25 besteht, daS die Anlage aufier Kontrolle gerat- Auch in diesem 
Fall kommuniziert die sicherheitsbezogene Steuerung in der 
Standardsteuerungseinrichtung uber den Bus mit dem 
sicherheitsbezogenen Ausgang. 

30 Das erf indungsgemaSe Automatisierungssystem umfaSt ferner 
zwei Sicherheitsanalysatoren 5, 5 % , welche jeweils mittels 
einer Schnittstelle den Datenf luS iiber das Bussystem in 
Echtzeit mithoren. Die Sicherheitsanalysatoren sind zum 
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Verknupfen und/oder Verarbeiten von sicherheitsbezogenen 
Daten im Busdatenstrom eingerichtet . Dies bedeutet, daS sie 
sicherheitsbezogene Verknupfungen der 

Standardsteuerungseinrichtung nachvoll Ziehen konnen, da ihnen 
5 die uber den Bus transport ierten sicherheitsbezogenen Daten 
zuganglich sind* 

Hierzu weisen die Sicherheitsanalysatoren 5, 5' jeweils eine 
frei programmierbare Logikeinrichtung auf , in welcher die 

10 abgehorten Daten, insbesondere die abgehorten 

sicherheitsbezogenen Daten verarbeitet werden. Beispielsweise 
konnen die Sicherheitsanalysatoren 5, 5 V durch Nachbilden der 
sicherheitsbezogenen Verknupfungen der Standards teuerung 
deren als Ausgangsdaten uber den Bus gesendeten 

15 Verknupfungsdaten uberprufen. In vorliegendem Fall be Ziehen 
sich die sicherheitsbezogenen Verknupfungen auf einen 
einzelnen Busteilnehmer 32. In diesem Fail ist der 
Sicherheitsanalysator 5 fur die sicherheitsbezogenen Ein- \ 
bzw. Ausgange, welche diesen Busteilnehmer zugeordnet sind, 

20 zustandig. In der in Fig. 1 dargestellten Ausfuhrungsform der 
Erfindung sind die Sicherheitsanalysatoren 5 bzw* S 1 keine 
logischen Busteilnehmer des Automatisierungssystems . Der 
Sicherheitsanalysator 5 weist jedoch einen 
sicherheitsbezogenen Ausgang 6 auf, tiber welchen der dem 

25 Sicherheitsanalysator zugeordnete Busteilnehmer 32 

ausgeschaltet werden kann. Dies geschieht mittels einer 
Schaltung eines Schutzes 7 , welcher den Busteilnehmer bzw. 
die angeschlossenen Baugruppen und Maschinen von der 
Versorgungsspannung trennt. Auf diese Weise fuhrt der 

30 Sicherheitsanalysator 5 im Ansprechen auf die Uberprufung 
oder den Vergleich eine sicherheitsbezogene Funktion, hier 
das Abschalten der Versorgungsspannung aus- Wenn 
beispielsweise ein Fehler der sicherheitsbezogenen 
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Verknupfungsdaten aus der Standardsteuereinrichtung erkannt 
wird, kann der Sicherheitsanalysator uber den beschriebenen 
Ausgang den betroffenen Busteilnehmer abschalten, da die 
sicherheitsbezogene Steuerung durch die 
Standardsteuerungseinrichtung nicht mehr vorgabegemaS 
arbeitet. In ahnlicher Weise wird ein Busteilnehmer 
abgeschaltet, wenn die sicherheitsbezogene Steuerung nicht 
notwendige Daten an den Busteilnehmer sendet und 
infolgedessen Gefahr besteht, dafi die Anlage in einen 
undefinierten Zustand gerat. 

In der beschriebenen Aus fuhrungs form ist uber einen 
Buskoppler 9 ein Lokalbusstich 8 rait drei Busteilnehmern 33, 
34 und 35 angeordnet • Diese Busteilnehmer sind von der 
Funktionfahigkeit und vom Betrieb des Busteilnehmers 32 
abhangig, welcher dem Sicherheitsanalysator 5 zugeordnet ist. 
Demnach ist es notwendig, beim Abschalten des Busteilnehmers 
32 auch die Busteilnehmer des Lokalbusstichs 8 von der 
Versorgungsspannung zu trennen. Diese Verrieglungslogik ist 
im Sicherheitsanalysator 5 abgelegt, Somit sind insgesamt 
vier Busteilnehmer mit ihren nachgeordneten Baugruppen und 
Maschinen abzuschalten, was in Fig. 1 schematisch durch einen 
Vierfach-Schutz 7 dargestellt ist, 

Der Sicherheitsanalysator 5 ! ist wie der erste 
Sicherheitsanalysator 5 zum Abhoren der iiber den Bus 
transportierten Daten eingerichtet . Im Gegensatz zum ersten 
Sicherheitsanalysator 5 weist er jedoch keinen Ausgang au£, 
mit welchem er sicherheitsbezogene Funktionen ausfuhren kann. 
Statt dessen umfaSt er einen sicherheitsbezogenen Eingang 10, 
uber welchen der Sicherheitsanalysator mit einer 
sicherheitsbezogenen Einrichtung 11 des 
Automat is ierungssystems zur Erfassung von 
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sicherheitsbezogenen Daten verbunden ist. Im vorliegendeix 
Fall umfafit diese Einrichtung 11 einen Phot ode tektor, welcher 
als Teil einer Lichtschranke den Arbeitsbereich eines 
Schweifiroboters uberwacht, Der Sensor 1st nicht mittels eines 
5 Busteilnehmers an den Automatisierungsbus angeschlossen, 

sondern direkt an den Sicherheitsanalysator 5 1 ♦ Im Ansprechen 
auf die uber den sicherheitsbezogenen Eingang 10 des 
Sicherheitsanaiysators 5' erfafiten sicherheitsbezogenen Daten 
fuhrt auch hier der Sicherheitsanalysator eine 
10 sicherheitsbezogene Funktion aus> Wird durch den 

Phot ode tektor 11 das Eindringen einer Person in den 
Arbeitsbereich des Roboters erfafit, so schaltet der 
Sicherheitsanalysator 5 1 den entsprechenden Busteilnehmer 38 
und seine zugeordneten Baugruppen und den Roboter selbst aus< 
15 Hierzu weist der Sicherheitsanalysator 5 r eine Einrichtung 
zum Manipulieren der auf den Bus ubertragenen Eingangs- und 
Ausgangsdaten auf * Dabei kann zumindest ein Datum des 
Datenstroms uberschrieben, geloscht und/oder zumindest ein 
Datum in den Busdatenstrom eingefugt werden, Ein derartiger 
20 Vorgang ist in den Fig. 6a und 6b veranschaulicht * Diese 

Figuren zeigen das Veranden von Eingangs- bzw, Ausgangsdaten 
der Standardsteuereinrichtung 4 durch den 
Sicherheitsanalysator 5*. In beiden Fallen wird eine 
Informationseinheit 12 in einen Speicher des 
25 Sicherheitsanaiysators eingelesen und daraufhin an die 

entsprechende Stelle des Datenstroms eine aus einem anderen 
Speicher des Sicherheitsanaiysators entnommene 
Informationseinheit eingeschrieben. Die Abschaltung des 
Busteilnehmers und der daran anges chlos senen Baugruppen und 
3D damit des Roboters kann sowohl uber die Manipulation der 
Eingangsdaten als auch uber die Manipulation der 
Ausgangsdaten der Standardsteuereinrichtung vorgenommen 
werden. Wird beispielsweise der Eingangsdatenstrom derartig 
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verandert, daJ3 der Standardsteuerungseinrichtung 4 ein 
Betriebsparameter aufierhalb der vorgegebenen Grenzen gemeldet 
wird; so schaltet die Standardsteuerungseinrichtung uber den 
Bus mittels eines dem bestimmten Busteilnehmer 3 8 
5 ubermittelten sicherheitsbezogenen Verknupfungsdaturns diesen 
Busteilnehmer und damit den SchweiBroboter ab* In gieicher 
Weise kann der Sicherheitsanalysator eine Freigabe durch 
Standards teuereinrichtung mittels Uberschreiben des 
entsprechenden Ausgangsda turns ruckgangig machen, 

10 

Fig. 6b zeigt den Fall, daS der Sicherheitsanalysator den 
Ausgangsdatenstrom auf dem Bus verandert. In diesem Fall 
manipuliert der Sicherheitsanalysator die an den 
Busteilnehmer 38 gesendeten Daten derartig, daS der 
15 Busteilnehmer seinen Ausgang und damit auch den 
SchweiSroboter abschaltet . 

Fig, 2 zeigt eine weitere Ausfuhrungsform der Erfindung. 
Dabei ist der Bus ein nach dem Master-Slave-Prinzip 

20 arbeitendes System, wobei die Standardsteuerungseinrichtung 
als Master und die einzelnen Busteilnehmer als Slaves 
fungieren. Das Bussystem ist uber eine Anschaltbaugruppe 41 
mit einem Host 40 verbunden, wobei die prozefibezogene 
Steuerung im Host und die sicherheitsbezogene Steuerung in 

25 der Anschaltbaugruppe angeordnet i£t bzw* ablauft. Die Anlage 
umfaSt einen einzelnen Sicherheitsanalysator 5, der direkt 
hinter die Anschaltbaugruppe zum Abhoren des Busdatenstroms 
an dem Bus angekoppelt ist, Durch diese MaSnahme wird 
sichergesteilt , daS der Sicherheitsanalysator an dem 

30 seriellen Bus mit Ringstruktur den gesamten Eingangs- als 
auch den gesamten Ausgangs-Datenstrom auf dem Bus abhoren 
kann, Aufgrund der Erkenntnis des gesamten Datenstroms uber 
den Bus legt der Sicherheitsanalysator 5 in der beschriebenen 
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Ausfuhrungsform ein vollstandiges ProzeSabbild in einem dafur 
vorgesehenen Speicher ab. Demzufolge ist der 
Sicherheitsanalysator in der Lage, die Gesamtheit der 
sicherheitsbezogenen Verknupfungsdaten der 
5 sicherheitsbezogenen Steuerung in der Anschaltbaugruppe 2U 
uberprufen und bei Bedarf , d*h. beim Auftreten eines Fehlers, 
den Ausgang 6 zum Abschalten der Gesamtanlage mi ttels des 
Schutzes 7 sicherheitsgerichtet derart anzusteuern, daS die 
Verso rgungsspannung fur die Gesamtanlage ausgeschaltet wird* 

ID 

Eine Modifikation der in Fig, 2 dargestellten Ausfuhrungsform 
zeigt das erf indungsgemaSe Automat isierungs system in Fig. 3. 
Der Sicherheitsanalysator 5 ist hier in die' Anschaltbaugruppe 
41 integriert. Die sicherheitsbezogene Steuerung der 

15 . Standardsteuerungseinrichtung als auch die 
sicherheitsbezogene Datenverarbeitung des 
Sicherheitsanalysators laufen in der Anschaltbaugruppe in 
getrennten und unabhangigen Logikbausteinen ab. Weiterhin ist 
ein zweiter Sicherheitsanalysator 5 1 1 am Kopf des 

20 Lokalbusstichs 8 angeordnet. Diese Anordnung bedingt 

wiederum, daS der Sicherheitsanalysator 5 ' 1 die Gesamtheit 
aller Eingangs- als auch der Ausgangsdaten fur die 
Busteilnehmer 33, 34 und 35 des Lokalbusstich 8 abhoren kann 
und demgemaS ein vollstandiges ProzeSabbild fur den 

25 ProzeSablauf innerhalb des Lokalbusstichs anzulegen. Der 
Sicherheitsanalysator 5 1 f ist somit wie der 

Sicherheitsanalysator 5 im Fernbus-Abschnitt in der Lage, die 
Gesamtheit der sicherheitsbezogenen Verknupfungsdaten der 
sicherheitsbezogenen Steuerung fur den Lokalbusabschnitt in 
30 der Anschaltbaugruppe zu uberprufen und bei Bedarf wie oben 
stehend beschrieben, uber eine Datenmanipulation die 
notwendigen sicherheitsbezogenen Funktionen auszuldsen* Auf 
diese Weise lassen sich hochste Sicherheitsanforderungen, die 
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an die im Busstich 8 voriiegenden sicherheitsrelevanten Ein- 
und Ausgange gestellt sind, erfullen, da der Lokalbusstich 8 
sowohl durch die sicherheitsbezogene Steuerung der 
Standardsteuereinrichtung als auch durch den 
Sicherheitsanalysator 5 und durch den Sicherheitsanalysator 
5 <! abgesichert ist. 

Eine weitere Ausfuhrungsform der Erfindung zeigt Fig. 4* Das 
erf indungsgemaBe Automat isierungssystem umfaSt zwei 
Sicherheitsanalysatoren 5 und 5', deren sicherheitsbezcgenen 
Ausgange 6 und 6 1 miteinander gekoppelt sind. Beide Ausgange 
steuern eine Vielfach~3ch€itzeinrichtung 7 zum Abschalten der 
Versorgungsspannung fur das Gesamt system. Die Anlage wird 
durch eine Standardsteuerungseinrichtung 4 uber den seriellen 
Bus 2 gesteuert, Der Sicherheitsanalysator 5 kann aufgrund 
seiner Anordnung im System die Gesamtheit aller Eingangs- und 
Ausgangsdaten auf dem Bus abhoren, ausgenommen die 
Eingangsdaten des ersten Busteilnehmers 31, der zwischen der 
Steuerungseinrichtung 4 und dem Sicherheitsanalysator 5 
angeordnet ist. Der Sicherheitsanalysator 5 1 kann alle 
Eingangsdaten am Bus abhoren, alle Ausgangsdaten auSer die 
fur den letzten Busteilnehmers sind ihm jedoch nicht 
zuganglich. Der erste Sicherheitsanalysator 5 ist deshalb 
durch Umkopieren der betref fenden Daten im Busdatenf lufi in 
der Lage, die ihm zuganglichen Ausgangsdaten in Eingangsdaten 
umzukopieren und somit die dem Sicherheitsanalysator 5 r 
eigentlich nicht zuganglichen Ausgangsdaten zum Anlegen eines 
ProzeSabbildes fur den abzusichernden sicherheitsbezogenen 
Busteilnehmer 32 auch dem Sicherheitsanalysator 5 1 verfugbar 
zu machen. Da beide Sicherheitsanalysatoren dieselbe 
Eingangs information erhalten, konnen sie sich im Hinblick auf 
die sicherheitsbezogenen Ein- bzw, Ausg&nge des 
abzusichernden Busteilnehmers 32 uberwachen. Auf diese Weise 
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ist eine verteilte Redundanz der Sicherheitstechnik im 
erf indungsgemaSen Automatisierungssystera realisiert. Im 
vorliegenden Beispiel weist der Sicherheitsanaiysator 5' 
weiterhin einen sicherheitsbezogenen Eingang 10 auf, an 
5 welchen ein Notschalter 13 angeschlossen ist, Auf das 
Schliefien des Notschalters 13 spricht der 
Sicherheitsanaiysator 5* mit der im Sicherheitsanaiysator 
zugeordneten sicherheitsbezogenen Funktion an, namlich dem 
Offnen des Schutzes 7 zur Abschaltung der Gesamtanlage- 

10 

Das beschriebene Verfahren des Umkopierens von Eingangsdaten 
in Ausgangsdaten und umgekehrt wird erf indungsgemaS auch dazu 
benutzt, urn eine Datenverbindung in dem nach dem Master- 
Slave-Prinzip arbeitenden Automat isierungs system zwischen 

15 zwei Slaves zu realisieren ohne daS der Master fur die 

Datenubermittlung benotigt wird. Hierbei kann beispielsweise 
ein einem Busteilnehmer zugeordneter Sicherheitsanaiysator 
das zu ubermittelnde Datum des Busteilnehmers in den 
Eingangs-Datenstrom einfugen und somit einem nachfolgenden 

20 Busteilnehmer ohne die Beanspruchung des Masters zur 

Verfugung stellen. Auf diese Weise laSt sich bei Bedarf auch 
auf einfache Weise ein Multi- Oder Broadcast der Information 
zu alien ubrigen nachfolgenden Busteilnehmem verwirklichen. 

25 In einer nichtdargestellten Ausfuhrungsform der Erfindung ist 
der Sicherheitsanaiysator in einem zugeordneten 
sicherheitsgerichteten Busteilnehmer integriert- Die 
sicherheitsgerichteten Verknupfungen laufen dabei in einer 
Logikeinheit des Busteilnehmers ab, somit laSt sich im 

30 Busteilnehmer eingebaute Inteiligenz fur die 

sicherheitsgerichteten Verknupfungen nutzen* Da der 
Busteilnehmer eine Busschnittstelle auf weist, veringert sich 
der zusSttzliche Hardwareaufwand fur den Sicherheitsanaiysator 
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betrachtlich. 

Bei der Datenubertragung in den beschriebenen 
erf indungsgemaSen Automatisierungssystemen werden zumindest 
teilweise die sicherheitsbezogenen Daten in einem 
Sicherheitsprotokoll tiber den Bus ubertragen. Dieses 
Sicherheitsprotokoll kann je nach Anforderung zusatzlich zum 
Sicherheitsdatum das negierte Sicherheitsdatum, eine Adresse 
und/oder eine Datensicherungsinformation in Form eines CRC 
umfassen. Auf diese Weise lassen sich Fehler bei der 
Datenubertragung leicht erkennen. Zu diesem Zweck wird ein im 
erf indungsgemafien Automatisierungssystem verwendeter 
Sicherheitsanalysator derartig eingerichtet , da£ er das 
Sicherheitsprotokoll lesen und entsprechend auswerten kann, 

Mittels der im Sicherheitsprotokoll ubertragene Adresse des 
Sicherheitsbusteilnehmers kann der Sicherheitsanalysator bei 
geandertem Busaufbau, beispielsweise durch 
sicherheitsbezogene Abschaltung der Komponente, eine 
Anpassung der Programmierung vornehmen bzw. den Datensatz des 
ihm zugeordneten Teilnehmers erkennen und die Veranderung des 
Busaufbaus berucksichtigen, Zusatzlich kann durch die 
Aufnahme der Adresse in das Sicherheitsprotokoll ein 
Ablagefehler durch einen Busfehler oder einen Ausfall einer 
dezentralen Einheit erfaSt werden. 

Eine besondere Ausfuhrungsf orm eines Sicherheitsanalysators 
zur Verwendung im erf indungsgemafien Automatisierungssystem 
zeigt Fig* 5. Der dargestellte Sicherheitsanalysator 5 weist 
sowohl 4 sicherheitsgerichtete Eingange 10 zur Erfassung 
sicherheitsgerichteter Information von Photodetektoren 11 als 
auch 4 sicherheitsgerichtete Ausgange 6 zum Abschalten der 
Versorgungsspannung von 4 Automatisierungsbuskomponenten 
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durch Schutze auf . Die verschiedenen sicherheitsgerichteten 
Ausgange 6 ' werden dabei im Ansprechen auf die im 
Sicherheitsanalysator ablaufenden Verkmipfungen, den 
Vergleich mit sicherheitsgerichteten Verknupfungen der 
Standardsteuerung und/oder eine sicherheitsbezogene 
Si ngangs information uber den Eingang 10 angesteuert. Hierbei 
ist eine Verrieglungslogik im Sicherheitsanalysator abgelegt, 
die vorgibt, welche sicherheitsgerichteten Funktionen beim 
Auftreten eines bestimmten Fehlers ausgeldst werden, d.h. 
welche Komponenten beim Auftreten des Fehlers von der 
Versorgungsspannung abgetrennt werden mussen. 

Es liegt im Rahmen der Erfindung, daS ein 
Sicherheitsanalysator neben der Verarbeitung von 
sicherheitsbezogenen Daten auch eine ProzeSdatenverarbeitung 
durchf uhrt - 

Weiterhin ist festzuhalten, daS das Prinzip der Erfindung 
nicht auf die in den Ausfuhrungsbeispielen dargestellten 
Automatisierungsbussysteme beschrankt ist, sondern statt 
dessen auf alle Automatisierungsanlagen mit einem Bus 
angewendet werden kann. 
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Patentanspruche : 

1. Automatisierungssystern (1), zumindest umfassend 

ein Bussystem (2), daran 

angeschlossene E/A-Busteilnehmer (31-38) und 
eine Standardsteuerungseinrichtung (4; 40, 41), 
sowie wenigstens 

einen Sicherheitsanalysator (5, 5 % , 5* x ), 
welcher den DatenfluS uber das Bussystem mithort und 
zum Ausfuhren zumindest einer sicherheitsbezogenen 
Funktion ausgebildet ist, 
dadurch gekennzeichnet , dafi 

die Standardsteuerungseinrichtung zumindest einen 
sicherheitsbezogenen Ausgang steuert und daS 
der Sicherheitsanalysator zum Uberprufen und/oder 
Verarbeiten von sicherheitsbezogenen Daten im 
Busdatenstrom eingerichtet ist. 

2. Automatisierungssystern (!) nach Anspruch 1, 
dadurch gekennzeichnet, daS der Sicherheitsanalysator 
(5, 5*, S XK ) eine frei programmierbare Logikeinrichtung 
aufweist, welche die abgehorten Daten, insbesondere die 
abgehorten sicherheitsbezogenen Daten verarbeitet, 

3* Automatisierungssystern (1) nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, dafi 

der Sicherheitsanalysator (5, 5\ 5**) kein logischer 
Busteilnehmer des Automatisierungssystems (1) ist und 
dieser zumindest einen sicherheitsbezogenen Ausgang (6) 
aufweist, uber welchen wenigstens eine dem 
Sicherheitsanalysator zugeordnete Baugruppe des 
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Automatisierungssystems, insbe sonde re wenigstens ein 
Busteilnehmer (31-38), ein- oder ausschaltbar ist- 

4 . Automatisierungssystem (1) nach Anspruch 3, 
dadurch gekennzeichnet , daS 

der Sicherheitsanalysator (5, 5 X , 5^) zur Abschaltung 
einer Sicherheitsinsel, eines Busstichs (8) und/oder der 
Gesamtanlage eingerichtet ist* 

5. Automatisierungssystem (1) nach einem der Anspruche 1 
bis 4, dadurch gekennzeichnet, dafi 

der Sicherheitsanalysator (5M zumindest einen 
sicherheitsbezogenen Eingang (10) aufweist, uber welchen 
der Sicherheitsanalysator mit einer sicherheitsbezogenen 
Einrichtung (11) des Automat isierungssystem zur 
Erfassung von sicherheitsbezogenen Daten verbunden ist. 

6. Automatisierungssystem (1) nach einem der Anspruche 1 
bis 5, dadurch gekennzeichnet, daS 

das Bussystem (2) uber eine Anschaltbaugruppe (41) mit 
einem Host (40) verbunden 1st, 

wobei die prozeJSbezogene Steuerung im Host und die 
sicherheitsbezogene Steuerung in der Anschaltbaugruppe 
angeordnet ist. 

7, Automatisierungssystem (1) nach einem der Anspruche 1 
bis 6, dadurch gekennzeichnet, daS 

der Bus (2) ein serieller Bus ist und zumindest ein 
Sicherheitsanalysator ,(5, 5*) im Fernbus-Abschnitt des 
Automat isierungssyst ems angeordnet ist. 

8, Automatisierungssystem (1) nach Anspruch 7, 
dadurch gekennzeichnet, daS 
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ein Sicherheitsanalysator (5) direkt nach dern Host (40} 
Oder der Anschaltbaugruppe (41) angeordnet ist. 

9, Automatisierungssystem (1) nach einem der Anspruche 1 
5 bis 8, dadurch gekennzeichnet , daS 

ein Sicherheitsanalysator (5) in der Anschaltbaugruppe 
(41) angeordnet ist* 

10. Automatisierungssystem (1) nach einem der vorstehenden 
10 Anspruche 1 bis 9, dadurch gekennzeichnet, daS der 

Sicherheitsanalysator (5, 5\ 5") eine 
Speichereinrichtung zum Anlegen eines ProzeSabbildes 
umf aSt . 

15 11* Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 10, 
dadurch gekennzeichnet, da£ 

der Sicherheitsanalysator (5, 5\ 5* % ) eine Einrichtung 
zum Manipulieren des auf dem Bus (2) ubertragene 
20 Datenstroms, insbesondere der Eingangs- und/oder 

Ausgangsdaten, auf weist ♦ 

12. Automatisierungssystem (1) nach Anspruch 11, 
dadurch gekennzeichnet, daS 

25 die Einrichtung Eingangs- und/oder Ausgangsdaten 

uberschreibt und/oder Daten in den Datenstrom einfugt, 

13. Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 12, 

30 dadurch gekennzeichnet, daS 

zumindest ein Sicherheitsanalysator (5, 5\ 5 xt ) 
redundant aufgebaut ist. 
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14* Verfahren zum Betrieb einer Automat isierungssystems, 
insbesondere eines Automat isierungs systems (1) nach 
einem der Anspruche 1 bis 13, 
dadurch gekennzeichnet , daS durch die 
5 Standardsteuerungseinrichtung (4; 40, 41) die 

Pro zeSsteue rung mit der Verarbeitung von 
prozeSgebundenen E/A-Daten und eine sicherheitsbezogene 
Steuerung mit der Verarbeitung von sicherheitsbezogenen 
Daten durchgefuhrt wird und weiterhin eine Verarbeitung 
10 sicherheitsbezogener Daten auf zumindest einem 

Sicherheitsanalysator (5, 5*, S' s ) durchgefuhrt wird, 
wobei im Sicherheitsanalysator sicherheitsbezogene 
Daten, insbesondere sicherheitsbezogene 
Verknupfungsdaten im Busdatenstrom verarbeitet werden. 

15 

-15. Verfahren nach Anspruch 14, 
dadurch gekennzeichnet , daS 

in einem Sicherheitsanalysator (5, 5*, 5* 1 ) ein 
Vergleich der uber den Bus ubertragenen 
20 sicherheitsbezogenen Verknupfungsdaten der 

Standardsteuerungseinrichtung (4, 41) und/oder zumindest 
eines weiteren Sicherheitsanalysators (5, 5*, 5* A ) mit 
den entsprechenden Verknupfungsdaten des erst en 
Sicherheitsanalysators durchgefuhrt wird. 

25 

IS, Verfahren nach einem der Anspruche 14 oder 15, 
dadurch gekennzeichnet, daS 

die durch die Standardsteuerung (4, 41) erzeugten und 
als Ausgangsdaten uber den Bus gesendeten 
30 Verknupfungsdaten in zumindest einem 

Sicherheitsanalysator {5, 5 V , 5 XS ) durch Nachbil den der 
sicherheitsbezogenen Verkmipfungen der 
Standardsteuerung (4, 41) uberpruft werden* 
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17. Verfahren nach einem der Anspruche 14 bis 16, 
dadurch gekennzeichnet , daS 

im Ansprechen auf die Uberprufung oder den Vergleich 
durch den Sicherheitsanalysator (5, 5 K , 
sicherheitsbezogene Funktionen ausfuhrt werden, 

18. Verfahren nach einem der Anspruche 14 bis 17, 
dadurch gekennzeichnet , dafi 

im Ansprechen auf die uber den sicherheitsbezogenen 
Eingang (10) des Sicherheitsanalysators (5 H ) erfaSten 
sicherheitsbezogenen Daten der Sicherheitsanalysator 
sicherheitsbezogene Funktionen ausfuhrt, 

19. Verfahren nach Anspriich 18, 
dadurch gekennzeichnet , daS 

das Ausfuhren einer sicherheitsbezogenen Funktion das 
Ein- oder Ausschalten zumindest einer Baugruppe des 
Aut omat is ierungsbussys terns, insbesondere eines 
Busteilnehmers (32-38) umfaSt* 

20. Verfahren nach einem der Anspruche 14 bis 19, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5\ 5 A M mittels einer 
Einrichtung zum Manipulieren des Datenstroms auf dem Bus 
(2) zumindest ein Datum des Datenstroms uberschreibt , 
loscht und/oder zumindest ein Datum in den Bus- 
Datenstrom einfugt. 

21. Verfahren nach der Anspruch 20, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5, 5\ 5" x ) deri abgehorten 
Datenstrom zumindest teilweise abspeichert und 
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Eingangsdaten des Bus -Dat ens troms in Ausgangsdaten des 
Bus-Datenstroms, und umgekehrt, umkopiert* 

22. Verfahren nach einem der Anspruche 14 bis 21, 
5 dadurch gekennzeichnet , dafi 

sicherheitsbezogenen Daten in einem 
Sicherheitsprotokoll uber den Bus (2) ubertragen 
werden* 

10 23, Verfahren nach Anspruch 22, 
dadurch gekennzeichnet , daiS 

das Sicherheitsprotokoll zusatzlich zum Sicherheitsdatum 
das negierte Sicherheitsdatum, eine laufende Nummer, 
eine Adresse und/oder eine Datensicherungsinformation 
15 (CRC) umfafit. 

24, Verfahren nach einem der Anspruche 14 bis 23, 
dadurch gekennzeichnet , daS 

der Bus ein nach dem Master-Slave-Prinzip arbeitendes 
20 System 1st, wobei Daten zwischen zumindest zwei Slaves, 

insbesondere zwischen einzelneh Busteilnehmern (31-33), 
mittels einer Daten-Verbindung uber wenigstens einen 
Sicherheitsanalysator {5, 5\ 5") ubertragen warden, 
wobei der Sicherheitsanalysator Daten im Busdatenstrom 
25 umkopiert, 

25* Verfahren nach einem der Anspruche 14 bis 23, 
dadurch gekennzeichnet, daS 

der Bus ein nach dem Master-Slave-Prinzip arbeitendes 
30 System ist, wobei Daten zwischen zumindest zwei Slaves, 

insbesondere zwischen einzelnen Busteilnehmern (31-38), 
mittels einer Daten-Verbindung uber die Steuerung oder 
den Master ubertragen werden, wobei die Steuerung bzw. 
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der Master Daten im Busdatenstrom umkopiert. 

26. Verfahren nach einem der Anspruche 14 bis 25, 
dadurch gekennzeich.net, dafi 

mittels eines Sicherheitsanalysators <5, 5 X , 5* x ) 
Qualitatsdaten erzeugt und/oder eine Aufbereitung der 
gelesenen Daten zur weiteren Verarbeitung durchgefuhrt 
werden. 

27. Verfahren nach einem der Anspruche 14 bis. 26, 
dadurch gekennzeichnet, daS 

die in einem Sicherheitsanalysator (5') ablaufenden 
sicherheitsbezogenen Verknupfungen zumindest teilweise 
redundant in wenigstens einem weiteren 

Sicherheitsanalysator (5 ,x ) durchgefuhrt und durch beide 
Sicherheitsanalysatoren zumindest teilweise die 
gleichen Sicherheitsfunktionen ausgefuhrt werden. 

28. Verfahren nach einem der Anspruche 14 bis 27, 
dadurch gekennzeichnet, dafi 

ein Sicherheitsanalysator zumindest teilweise auch eine 
Prozefidatenverarbeitung durchfuhrt . 
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